新闻快讯
< >

印度军方网站离线疑云重重,官方与专业人士各执一词

印度军方网站离线疑云重重,官方与专业人士各执一词-E安全

印度边防安全部队(Border Security Force,下文简称“BSF”)的一个官方网站被黑客攻击,并被用于传播恶意软件,目前该网站https:// bsf.[gov] .in 处于离线状态。

MalwareHunter团队在4月6日发送推特之后,该恶意软件问题方被公众所知。他们在BSF网站上发现的恶意软件叫SocketPlayer ,在此之前从未出现。“印度边防安全部队”网站已被用于传播恶意软件。检查了两个样本:一个是SocketPlayer main,另一个是SocketPlayer loader(均被加密)


他们还表示,“目前,我们知道的每一个SocketPlayer样本都可以在BSF的网站上看到,或者它们是通过在网站的样本被下载而来。”(Malware团队由散布在全球的诊断感染恶意软件的安全专家和研究员组成,该团队去年在勒索病毒攻击世界各地的电脑系统时积极参与了恶意软件分析和诊断。)
此外, 孟买信息安全公司Security Brigade的首席技术官Yash Kadakia分析了该恶意软件的工作方式。“从最初的样子看,它出现在一次下载,这些受感染的文件通过像Outlook这样的邮件客户端访问一个人的联系人列表来发送假装来自孟买联合服务俱乐部(该俱乐部为军官和杰出公民服务)的电子邮件。然后触发另一个恶意软件,这个软件可以攻击控制来自德国和美国的服务器远程访问任何人的系统。

恶意软件研究员巴特在7日揭示了攻击BSF网站的黑客身份,在“印度边防安全部队”上主持的Webshell是一个典型的WSO webshell,由“DrSpy”修改。auth_pass解码为“cyberrose”,显然是巴基斯坦黑客组织。

而印度时报则在4月8日对事件才进行报道,报道中对网站问题的描述是——BSF网站被发现有感染恶意软件的文件,对其他问题却只字不提。 BSF发言人宣称,网站方已经意识到了这些问题。“BSF网站过去30—40天一直处于安全性审查阶段,相关人员正在全面研究网站元素以及(恶意软件)为什么以特定方式运行”。

印度时报报道的几小时后,MalwareHunter团队公然对BSF人员的说法表示难以置信,如果BSF人员说法属实,这意味着BSF的“审查”在“SocketPlayer”开始使用网站传播他们的恶意软件之前2个多星期就开始了,但他们甚至没有注意到审查开始的两周后,网站正在积极被用于传播恶意软件。

MalwareHunter团队对BSF网站被用于传播恶意软件的问题一再发声,直至4月7日还发出了“BSF网站仍然存在”的担忧,至此BSF官方人士的回答是否属实不言而喻。